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摘 ZB: 从 安全 角度 出 发 ， 多 变 体 执行 (Multi-variant Execution，MVX) 被 广泛 应 用 于 网 名 
存在 一 个 共性 问题 : 
产生 误 报 是 因为 表决 器 收 到 合 路 信息 后 开始 对 非 一 致 变量 做 安全 判断 ， 
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各 安全 防御 ， 但 多 变 体 执行 


即 各 路 执行 体 向 裁决 器 返回 内 容 时 ， 合 路 产生 的 误 报 难以 解决 。 排 除 机 器 环境 等 客观 因素 ， 


除 真实 攻击 造成 的 非 一 致 变量 外 ， 还 夹杂 


着 正常 系统 运行 产生 的 非 一 致 变量 (如 内 存 描述 符 、 端 口号 、 随 机 数 、 代 码 及 进程 内 的 线程 调用 顺序 )， 从 而 造成 表 


EE 


决 器 误 判 ， 影 响 多 


变 体系 统 正常 运行 。 如 果 能 降低 多 变 体 执行 的 误 报 举 ， 


则 可 以 有 效 地 提高 系统 效率 及 防御 能 力 。 


对 近年 来 多 变 体 执行 的 类 型 进行 归 类 ， 并 对 多 变 体 执 行 AAA 分 析 多 变 体 执 


行 产生 裁决 误 报 的 原因 ， 
方案 在 特定 应 用 场景 下 实验 分 析 ， 分 析 每 个 方法 的 功能 及 性 能 ， 指 出 各 自 策略 的 优点 及 缺点 。 最 后 讨论 


体 执 行 现 有 技术 未 解决 的 难点 和 未 来 的 研究 方向 。 
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选择 Pina 算法 进行 同步 的 策略 、 编 译 器 模块 插 桩 的 策略 、 缩 小 表决 边界 的 策略 ， 对 三 种 


现 有 多 变 


Abstract: From a security view, Multi-variant Execution (MVX) is widely used in network security defense, but there is a 


common problem in multi-variant execution: When each executive body returns content to the arbiter, it is difficult to solve 


the false alarm caused by the combination. Excluding objective factors such as the machine environment, false alarms are 


generated because the voter starts to make security judgments on non-consistent variables after receiving the combined 


information. In addition to non-consistent variables caused by real attacks, there are also non-consistent variables generated 


by normal system operation. (such as memory descriptors, port numbers, random numbers, codes, and the calling sequence of 


threads in the process) , voted normal operation of the multi-variant system made misjudgment. If reduced the false alarm rate 


of multi-variant execution, the system efficiency and defense capability would improved effectively. This paper classifies the 


types of multi-variant execution in recent years, summarizes the false alarms caused by multi-variant execution and the 


solutions, Analyze the causes of false alarms caused by multi-variant execution, select the Pina algorithm for synchronization, 


the compiler module instrumentation strategy, and the strategy for narrowing the voting boundary, analyzed the three schemes 


in specific application scenarios, and analyzed each method. Then pointed the functions and performance of each strategy, 


pointed the advantages and disadvantages of each strategy. Finally, discussed the unsolved difficulties and future research 


directions of the existing multi-variant implementation 


Key words: multi-variant execution; security judgments; inconsistent variables; systematic false alarm 


1 ”研究 背景 及 意义 


1.1 软件 开发 中 存在 安全 隐患 变 
在 系统 级 开发 过 程 中 ， 由 于 编程 语言 的 局 限 性 与 软件 开 0 


1.2 多 变 体 执行 的 介绍 
多 变 体 执行 的 架构 由 执行 体 和 监控 模块 两 部 分 组 成 ， 多 
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发 者 缺乏 安全 知识 ， 应 月 


针 、 缓 冲 区 溢出 等 漏洞 


在 开发 过 程 中 ， 由 于 大 量 的 使 用 第 它 


E、 借 鉴 开 源 的 项 


源 代码 ， 虽 然 提 高 了 效率 ， 但 也 带 


(过 
F 


也 址 ， 向 程序 注入 


Zh oup yx 


Wm em Be 


收 稿 日 期 : 2022-02-22; 修 回 日 期 : 2022-04-24 


效 抵御 进程 控制 动 持 流 攻 击 的 方法 之 一 。 


程序 会 存在 例如 整 型 溢出 、 悬 空 指 ”的 运行 效能 ， 其 关键 思想 是 同步 运行 多 个 不 
门 提供 相同 的 输入 ， 并 监控 它们 的 运行 以 发 现 分 歧 。 
从 安全 防御 的 角度 E 9 考虑 ， 如 果 正 在 运行 的 执行 体 之 
安全 隐患 问题 。 如 软件 漏 酒 中 最 常见 的 进程 控制 动 持 流 间 的 内 部 差异 ， 导 致 对 恶意 输入 的 响应 出 现 


体 可 以 表现 为 多 个 进程 或 者 多 个 线程 。 多 变 体 执行 技术 
， 既 可 以 保护 系统 免 受 内存 破 坏 攻 击 ， 也 可 以 提高 系统 


同 的 执行 体 ， 为 


明显 的 差异 ， 监 


的 锁 步 执行 ， 透 明 地 执行 相同 输入 ， 接 收 各 
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河南 驻马店 人 人， 硕士 研究 生 ， 
变 体 执行 技术 等 . 


监视 变 体 系统 调用 


是 攻击 者 利用 内 存 信息 泄露 绕 过 保护 机 制 ， 获 得 重要 —— 视 器 可 以 在 执行 中 检测 这 种 差异 ， 然 后 发 出 警报 或 终止 执行 ， 
payload， 窃 取 人 敏感 数 据 。 多 变 体 执 从 而 达到 防御 的 效果 。 该 技术 通过 强制 或 


执行 体 执行 后 的 
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录用 定稿 ERR, Fi 多 变 体 执行 误 报 问题 分 析 与 解决 方法 综述 第 39 卷 第 10 期 
结果 ， 监 视 器 可 以 检测 到 执行 中 的 差异 ， 然 后 发 出 警报 。 多 的 相关 文献 以 多 变 体 执行 架构 的 研究 机 构 和 团队 为 主线 ， 下 
变 体 执行 框架 如 图 1 所 示 。 而 简要 介绍 十 几 种 主要 类 型 的 多 变 体 执行 系统 发 展 ; 
e 在 2006 年 ，Cox 等 人 ?1 首次 针对 软件 安全 问题 提出 
| | f N-Variant 执行 架构 ， 它 定义 理想 MVX 系统 安全 特性 
2-25] 的 等 效 项 和 检测 机 制 。 该 架构 使 用 内 存 空间 的 异 构 和 
P3 指令 集 标签 化 技术 来 生成 执行 体 。 每 个 执行 体 都 相当 于 独立 
A 的 进程 ， 缺 点 是 ， 该 系统 无 法 支持 多 线程 元 余 程 序 执行 ， 且 
k 对 功 能 不 完善 ， 限 制 系 统 调用 的 使 用 。 同 年 ，Berger 提出 
理 DieHard 多 变 体 执行 架构 Pg9， 在 该 架构 里 ， 通 过 改造 每 个 执 
行 体 的 堆 对 象 ， 使 其 异 构 。 每 个 执行 体 接收 输入 后 ,将 结果 
输出 到 一 个 共享 的 内 存 区 域 ,该 区 域 中 每 个 执行 体 有 自己 的 
专属 缓冲 区 ,表决 进程 在 提前 规划 好 的 同步 点 上 对 共享 内 存 
i 变 休 集 | 区 域 的 输出 进行 比较 ,进而 输出 正确 的 结果 。 人 缺点 是 ， 该 系 
M OE HCM MEI SM CS 统 不 能 防御 基于 堆栈 损坏 的 攻击 行为 P728 。 
图 1 多 变 体 执行 框架 2007 年 ，CavallaropP9 多 变 体 架构 基于 地 址 空间 分 区 
Fig. 1 Multi-variant execution framework (Address Space Partitioning, ASP) 的 原理 将 框架 中 一 个 执行 
1.3 动态 异 构 元 余 概念 体 的 地 址 空间 “ 移 位 ”k 字 节 ， 使 得 两 个 执行 体 的 地 址 空间 的 
ELEIT RE, DE TR E dynamic 相对 距离 发 生 改变 ， 从 而 实现 多 样 化 的 目的 ， 进 而 阻止 部 分 
heterogeneous redundancy，DHR) 思 想 应 运 而 生 ， 该 思想 在 地 址 覆盖 攻击 。 缺 点 是 ， 该 系统 的 局 限 性 在 于 不 能 抵抗 类 如 
多 变 体 执 行 的 基础 上 增加 动态 和 反馈 的 特征 ， 文 献 [9,10] 对 相对 寻 址 这 类 攻击 。 
动态 了 元 余 异 构 进 行 了 论述 。DHR 主要 由 五 部 分 组 成 ， 分 别 2009 4£E£, Salamat 等 人 提出 OrchestraB0、 多 变 体 架 构 ， 
是 输入 模块 、 处 理 模块 、 输 出 模块 、 构 建 模块 、 调 度 模块 基于 堆栈 结构 的 特点 ， 设 计 出 两 个 堆栈 反 向 生长 的 执行 体 ， 
01~B31]。 输 入 模块 负责 将 用 户 输 入 分 成 多 份 ， 分 发 给 各 执行 该 框架 中 的 监视 模块 作为 单独 进程 运行 ， 使 用 ptrace API 
Jk; 处理 模块 负责 将 各 执行 体 执行 后 的 多 份 输出 发 送 至 表决 ”来 对 执行 体 的 系统 调用 进行 拦截 和 比 对 ,不 需要 对 操作 系统 
器 ;输出 模块 负责 表决 收 到 的 多 份 输出 ， 判 定 若 存在 na 个 或 进行 任何 改动 。 缺 点 是 ， 拦 截 比 对 系统 调用 消耗 性 能 巨大 ， 


n 个 以 上 的 结果 一 致 ， 则 输出 结果 ， 和 否则， 截断 输出 过 程 。 需要 频繁 的 对 上 下 文 进 行 切 换 。 
构建 模块 负责 构建 执行 体 集 ; 调度 模块 负责 动态 选择 算法 ， 2003 年 ， 哥 特大 学 Stijn Volckaert 团队 设计 出 
从 执行 体 集中 选择 执行 体 进行 调度 ， 在 执行 体 调度 完成 后 ， GHUMVEEB0 监 视 器 ，GHUMVEE 和 其 他 面向 安全 的 多 变 
将 服务 体 下 线 ， 清 洗 回 深 至 原始 状态 。 动 态 见 余 异 构 框 架 如 ” ” 体 框架 的 监控 组 件 都 是 依赖 于 ptrace API 来 监视 执行 体 B233]， 


图 2 所 示 。 在 用 户 空 间 ， 作 为 一 个 单独 的 进程 运行 ， 监 控 需要 同步 的 系 
统 调 用 ， 能 正确 处 理 多 线程 复制 和 异步 信号 传递 。 缺 点 是 频 
繁 切 换 上 下 文 。 


2015 ££, Hosek 团队 设计 出 Varan[ 汶 多 变 体 执 行 框架 ， 
首次 引入 异步 共享 机 制 ， 类 似 于 内 存 中 的 记录 重 放 框架 ， 其 
中 一 个 执行 体 充当 领导 者 ， 直 接 执行 系统 调用 ， 将 结果 写 入 
共享 的 环形 缓冲 区 。 其 他 版 本 执行 体 为 奶 随 者 ， 只 是 从 环形 
缓冲 区 中 读 取 结果 。 监 控 器 放 在 每 个 执行 体内 部 ,能 够 极 大 
的 减少 跨 进程 的 上 下 文 切换 ， 加 载 内 核 模块 拦截 系统 调用 以 
检测 执行 体 的 行为 ， 并 统一 执行 体 的 输出 。 监 视 器 充当 中 间 


组 件 ， 向 内 核 报 告 执行 体 的 状态 ， 并 在 执行 体 骨 溃 或 检测 到 
执行 体 行为 差异 时 执行 恢复 异常 处 理 。Varan 将 选择 性 二 进 
图 2 动态 元 余 异 构 框 架 制 重 写 B5 与 高 性 能 事件 流 相 结合 ， 提 供 一 种 灵活 高 效 的 用 
Fig.2 Dynamic redundancy heterogeneous framework 户 空 间 解 决 方案 ， 但 没有 解决 执行 体 间 系统 调用 产生 的 误 报 
每 个 执行 体 结构 不 一 样 但 功能 等 价 ， 表 决 器 通过 对 比 各 问题 。 
执行 体 之 间 的 信息 差异 来 判断 是 否 被 攻击 。 一 旦 表决 器 判定 2016 年 Stijn Volckaert 团队 引入 监控 模块 TP-MonPe?7 


当前 受到 攻击 ， 则 调用 动态 选择 算法 ， 从 备份 的 异 构 组 件 中 Remon 结合 跨 进 程 监控 器 和 进程 内 监控 器 的 优点 ，Remon 
挑选 合适 的 执行 体 对 异常 的 执行 体 进行 蔡 换 ， 通 过 表决 并 进 其 中 的 进程 内 监视 器 在 程序 内 输入 ， 而 跨 进 程 监视 器 强制 执 
行 负 反 馈 至 调度 模块 。DHR 有 具 有 随机 性 、 动 态 性 、 多 样 性 ，“” 行 对 有 潜在 危险 的 系统 调用 的 锁 步 执行 ， 另 一 方面 ， 安 全 的 
从 外 界 看 ， 这 些 内 生 的 特性 使 信息 系统 能 够 以 黑 盒 "14 的” 系统 调用 在 没有 外 部 监控 的 情况 下 进行 ， 从 而 提高 系统 效率 。 
角度 存在 ， 应 对 不 确定 的 攻击 ， 这 极 大 的 提高 了 攻击 者 的 难 ” 该 系统 将 监控 模块 放 入 应 用 程序 进程 里 ， 使 用 “记录 + 重 放 ” 


度 ， 理 论 上 ， 当 多 变 体系 统 各 执行 体 不 存在 共同 漏洞 时 ， 该 ” 方法 提供 对 多 线程 的 支持 。 记 录 + 重 放 方 法 ， 也 称 为 领导 者 / 

系统 是 足够 安全 的 。 追随 者 方法 ， 该 方法 通过 初始 化 ， 设 立 主 执行 体 从 执行 体 ， 

1.4 多 变 体 执行 的 发 展 监控 器 捕获 主 执 行 体 中 执行 同步 操作 的 顺序 ， 并 在 其 他 执行 
在 多 变 体 提出 之 前 ， 基 于 操作 系统 的 多 样 化 思想 ,设计 体 中 强制 执行 相同 的 顺序 。 

了 多 样 化 机 器 和 系统 调用 层级 的 映射 随机 化 。 还 存 着 基于 软 2016 Æ, Koning 等 人 时 从 虚拟 化 技术 ， 基 于 硬件 虚拟 

件 的 多 样 化 代码 ， 比 如 程序 级 别 的 指令 集 随 机 化 0720。 随 ”化 的 系统 模式 Dune， 提 出 MvArmor 的 多 变 体 架构 ， 改 善 


着 N-Variant 的 出 现 ， 越 来 越 多 国内 外 团队 开始 研究 多 变 体 。 多 变 体 架 构 的 性 能 瓶颈 ， 并 通过 自 定义 的 安全 策略 来 把 
执行 ， 经 过 十 几 年 的 发 展 ， 多 变 体 执行 蓬勃 发 展 。 本 文选 取 ”所 性 能 和 安全 之 间 的 平衡 ， 该 架构 能 够 通过 环境 感知 来 动态 
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ERR, Fi 多 变 体 执行 误 报 问 题 分 析 与 解决 方法 综述 


生成 执行 体 。 遗 憾 的 是 Dune 这 一 虚拟 化 框架 并 不 是 线程 
安全 的 ， 而 且 并 未 得 到 持续 更 新 。 


的 多 变 


架构 安全 防御 能 力 ， 
系统 调 


使 整个 系统 损耗 性 和 


陷 是 ， 不 能 


2018 年 LUK 等 人 基于 安全 防御 的 人 


减少 监控 


BE 


体 执行 架构 ， 在 VO 操作 设置 同步 点 ， 
当 攻 击 者 向 外 发 送 数据 时 对 端 


提出 BUDDY! 


监控 输出 口 ， 


口 进行 监控 ， 很 大 效率 的 提升 
同步 比较 的 次 数 。 监 控 器 拦截 
后 ， 将 结果 从 同步 缓冲 区 返回 给 各 执行 体 ， 尽 可 能 
EE 达到 最 小 ， 能 抵御 信息 泄漏 ， 该 系统 缺 
效 地 解决 执行 体 之 间 的 误 报 问 题 。 


2019 年 ，SalamatB 等 人 基于 操作 系统 内 核 ]， 提 出 了 


空间 里 生成 两 个 


两 个 多 样 化 编译 


虚拟 内 存 映射 ， 


构 可 以 防止 内 核 
F 销 ， 部 分 功 


26 
Ke 


把 监控 器 放 在 内 核 里 的 Kmvx 架构 ， 在 内 核 
执行 体 ， 有 具体 实现 方式 是 在 同一 机 器 上 运行 
后 的 内 核 执行 体 ， 并 构造 两 个 完全 不 相交 的 
在 执行 系统 调用 时 ， 两 个 内 核 同 时 处 理 ， 对 执行 结果 进行 同 
步 检 查 以 判断 是 否 存在 内 核 内 存 泄漏 。 该 架 
中 的 信息 泄露 问题 ， 不 过 仍然 具有 较 大 的 性 
能 还 待 探究 。 
2019 年 同年 ，Alexios Voulimeneas 等 人 设计 DMON 框 


执行 体 异 构 体 现 包括 不 同 的 指令 集 
O, DLE E 
两 种 监视 器 :L-MON 监视 器 监控 主 执行 体 
器 监督 。 只 要 变 体 执 
主 执行 体 或 从 执行 体 试图 进入 或 退出 系 
应 的 L-MON 或 F-MON 中 断 并 挂 起 变 体 的 状 
读 取 被 中 断 的 系统 调 
例 程 ， 该 例 程 的 作用 是 为 各 变 
现 检查 逻辑 和 复制 逻辑 。 监 视 器 在 进入 系统 
F-MON 中 ， 收 集 关 于 变 
言 息 发 送 给 L-MON， 并 等 待 L- 
于 主 执 行 体 的 状态 。 在 L-MON 中 ,检查 
言 息 ， 将 该 状态 信息 与 主 执行 体 的 状 
将 比较 结果 通知 F-MON 。 


EP: 


系统 调 
计 


[ 件 就 会 交互 ， 
统 调用 时 ， 相 


处 理 程 请 


查处 理 程序 。 在 


计 古本 


进行 比较 ， 并 


自 带 的 F-MON 监视 


伍兹 
^E 


F-MON 的 传 入 状态 


AR, DMON 将 一 组 执行 体 分 布 在 一 组 异 构 的 物 


理 机 器 上 ， 


、 字 符 顺 
安全 特性 差异 。 


行 


序 、 调 用 规则 、 


DMON 设 
， 而 从 执行 体 
系统 调用 ， 这 些 


用 的 调用 


写 ， 并 调 


二; 
MON 确认 从 执 


监控 进程 中 的 
本 的 系统 调用 实 
调用 时 中 断 ， 检 
天 态 的 信息 ， 将 
行 体 处 于 等 
处 理 程 序 等 待 来 


本 


20204£, Xiaoguang Wang 等 人 设计 MonGuard 系统 [3]， 


MonGuard 是 


受 保 


地 过 


b sr 


E 


al 


流出 虚拟 内 存 空间 时 ， 表 决 器 主动 


实现 系统 调用 


用 ptrace 系统 调 


提取 、 返 回 值 履 盖 等 功能 ， 


赛 的 拟态 pwn 题 验证 拟态 执行 的 防 


误 报 的 情况 ， 主 要 原因 
随机 数 、 


在 如 进程 号 、 
响 表 决 器 裁决 。 


高 监控 性 


态 防御 原理 


通过 第 三 
御 有 效 性 
是 MimicBox 中 元 余 的 执行 体 之 间 存 


个 保护 进程 内 监视 器 和 库 的 系统 。 
利用 Intel MPK 高 效 更 新 内 存 访问 权限 。MonGuard 实现 只 
执行 内 存 和 代码 随机 化 来 隐藏 监控 代码 ， 使 
护 的 进程 内 MVX 监视 器 。 其 实验 结果 
合理 的 组 件 内 隔离 可 以 大 大 提 
2020 年 ， 潘 传 幸 等 人 在 揽 
mM MimicBoxrI49 ; 


人 23 性 


HMA 


MonGuard 


j 它 来 实现 一 个 


表明 ，MonGuard 


Ab 
HE o 


1244,45] 的 基础 之 
发 现 元 余 执行 的 进程 有 数据 
进行 表决 。MimicBox 使 
的 拦截 、 蔡 换 、 表 决 内 容 


强 网 杯 精 英 挑 战 
， 但 存在 表决 器 


文件 


多 变 体 执行 总 结 如 表 1 所 示 。 


2 


数 的 在 执行 过 程 中 ， 


执行 过 程 中 ， 本 身 会 提 


于 被 多 变 体 执行 改造 的 系统 拥 
发 起 请 求 时 ， 多 个 变 体 


E 误 报 的 本 质 原因 : 
一 些 存在 不 确定 


多 变 体 执行 误 报 的 产生 原因 
多 变 体 执 行 系统 产 4 


者 述 符 等 参数 不 一 致 的 情况 ， 影 


在 多 执行 体 元 余 


性 


其 属性 不 可 


的 参数 ， 此 类 参 


预测 。 如 随机 数 ， 时 间 蕉 等 。 
有 异 构 宛 余 性 ， 因 此 当 用 户 


成 监控 模块 表决 误 } 


多 变 体 框架 的 误 报 


Zn 


可 能 产生 响应 不 一 致 的 情况 ， 从 而 造 


问题 不 可 避免 ， 是 多 变 体系 统 


A JL 
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余 异 构 后 带 来 的 潜在 问题 ， 误 报 问 题 根据 粒度 不 同 ， 表 现 方 
式 则 不 同 ， 下 面 举 几 个 常见 的 例子 来 阐述 误 报 问 题 及 其 危害 : 
dl 多 变 体 执行 总 结 
Tab. 1 Multivariant executive summary 
= 3 
" sunu ESSET ATAR 
体 执行 架构 ” 变 体 生 成 技术 监控 器 实现 线程 程序 场 S02 
n 机 数 误 报 
ZA 
地 址 空间 分 ， ae 
€— “内 核 自 定义 
N-variantP?) 区， 指令 集 标 "m T T 
签 化 
为 核 自 定义 
DieHard?*?" — 推 布局 随机 化 d" 人 8 8 
T Hb 
Cavallaro!’ FR PON ptrace T fm 
间 
改变 栈 的 生长 
Orchestra691 FH ptrace 是 fü 
完全 支持 
GHUMVEEP'?I pes ptrace 否 否 
VARANB435 ”多 个 程序 修正 二 进 制 重 写 是 是 
完全 支持 ”内 核 自 定义 
ReMonP9?7] ASLR， 不 相交 IR 是 f 
的 代码 布局 十 ptrace 
ANE BS HAE 
MvArmorP?539) 空间 和 堆 分 配 Dune T B 
偏 移 
分 区 地 址 随机 
BUDDYU? 化， 堆栈 随机 内 核 否 fi 
填充 
构造 两 个 完全 、 
" S 内核 自 定义 
Kmvxr 不 相交 的 虚拟 fi 是 
; p 模块 
TETUR. 
分 布 式 系统 ， 
Dmon!*?] 使 用 网 络 进行 ptrace 否 否 
通信 
地 址 空间 随 
MonGuard!?! : Pu 随机 ptrace 是 f 
[空间 随 
MimicBox!^-46! ne 7 iid ptrace 是 fi 
2.4 情况 一 文件 读 写 引起 的 误 报 
文件 读 写 案例 如 图 1 所 示 。 
进程 1 进程 2 
线程 wl 线程 pl 
线程 w2 线程 p2 
i FD1 FD2 
用 户 空间 给 进程 返回 独 
立 文件 描述 符 
sysc open sysc open 
图 3 文件 读 写 案例 图 


Fig.3 File reading an 
Linux 操作 系统 的 本 质 是 
] 在 系统 的 作用 至 
述 符 去 执行 。 


描述 符 的 作 
要 利用 文件 


i 


d writing case diagram 


关 重 要 ， 多 数 的 系统 调 


于 进程 描述 符 是 进程 独 有 


源 ， 在 不 同 进 


程 之 间 不 共享 。 


文件 去 定义 一 切 ， 因 此 文件 


都 需 


的 资 
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录用 定稿 


ERR, F: 


假设 系统 里 ， 有 两 个 进程 ， 把 它们 看 成 两 个 执行 体 


个 进程 里 又 


— H 


， 每 


个 线程 ， 现 在 系统 里 要 进行 打开 文件 操作 ， 


于 进程 是 拥有 资源 的 最 


\ 单 位 ， 线 程 是 调度 的 最 小 单位 ， 


线程 是 进程 中 的 一 个 执 
open 


Lk EHI 


行 实体 ， 实 际 操作 是 1 


线程 完成 


的 原 语 指令 是 | 


m. 


个 


进程 中 的 某 


个 线程 去 操作 ， 执 行 顺序 是 不 确定 


需要 进程 内 的 


抢 系 统 调用 sysc 


个 执行 体 之 
也 会 有 差异 ， 
的 PID 不 同 。 

该 误 报 属于 表决 器 裁 


进程 的 PID 


在 整个 系统 中 是 唯一 的 ， 但 


引起 的 误 报 ， 于 在 拟态 


XE 


的 。 当 进程 进行 打开 文件 操作 时 ， 如 果 没 有 指定 某 个 线程 进 
行 打开 文件 ， 进 程 的 两 个 线程 会 进行 人 
操作 ， 在 多 变 体 执行 的 框架 里 ， 为 保证 
要 维持 主 从 执行 体 的 输入 一 致 。 在 普通 的 操作 下 ， 
文件 ， 不 需要 考虑 多 线程 的 问题 ， 但 如 果 要 打开 
两 个 线程 进行 争 抢 ， 很 容易 发 生 混乱 。 如 
间 的 线程 调度 不 同 ， 那 么 它们 传 到 表决 器 的 


表决 时 的 正确 性 ， 
F， 打 开 单 个 
两 个 文件 时 ， 


open 


需 


AS 


fT À 
线程 


化 改 


造 改 造 的 过 程 中 对 不 需要 进行 异 构 的 部 分 进行 异 构 处 理 


, 导 


致 多 个 执行 体 正常 执行 的 结果 也 存在 不 一 致 ， 最 终 被 表决 器 


错误 地 裁决 为 攻击 ， 


变 体 执行 系统 依赖 于 通过 软件 多 样 化 技术 生成 的 多 个 功 


o 


Le A 
能 等 


价 但 存在 异 构 性 的 多 个 进程 执行 体 ， 
随机 加 载 ASLRC7 等 随机 化 技术 处 理 后 ， 同 
行 时 功能 能 够 保持 一 致 ， 但 在 操作 系统 层 


配置 


严重 影响 多 变 体 执行 系统 的 可 用 性 
虽然 通过 地 址 空间 

一 个 程序 多 

面 仍 可 能 仍 存 


一 致 的 信息 ， 这 种 不 一 致 主要 体现 在 程序 打开 的 文件 
对 应 的 文件 信息 和 进程 ID 等 方面 。 
2.2 情况 二 多 线程 产生 的 误 报 
生产 者 1 消费 者 1 生产 者 2 消费 者 2 
执行 体 
图 4 生产 者 消费 者 案例 图 
Fig.4 Producer consumer case diagram 
情况 二 ， 为 日 常 的 生产 者 消费 者 案例 (图 20 , fu 
设 多 线程 见 余 执行 的 环境 里 ， 主 执行 体 和 从 执行 体 分 别 
一 个 缓冲 区 ， 只 有 在 生产 者 生产 资源 将 资源 放 到 缓冲 区 


消费 者 才能 去 消费 资源 ， 当 缓冲 区 没 
消费 。 生 产 者 生产 一 次 资源 ， 记 录 为 +1， 消 费 者 消费 


资源 时 ， 消 费 者 


资源 ， 记 录 为 -1。 在 执行 程序 时 ， 主 执行 体 缓冲 区 资源 
+1，-1，+1，-1。 而 从 执行 体 缓冲 区 资源 发 生 +1，+1， 
-1 的 操作 ， 在 显示 结果 的 时 候 ， 二 者 达到 一 样 的 功能 ， 


在 实现 过 程 中 ， 进 行 不 同 的 修改 ,在 监控 组 件 的 表决 器 中 ， 


次 运 


在 不 


DRR 


: 候 
都 有 
后 ， 
不 能 
一 次 
发 生 
-1 ， 
但 是 


如 果 监 控 粒 度 到 达 系 统 调 用 级 别 时 ， 则 可 能 在 表决 器 表决 时 


会 产生 不 一 致 的 结 
2.3 情况 三 随机 数 误 报 


以 Openssl 中 的 随机 模块 为 例 ， 
能 够 生成 随机 性 很 强 的 口令 ， 


解密 的 安全 通信 协 
送 数据 的 两 端 通过 
全 保护 60。 如 使 
然后 使 | 


议 模 块 ， 
对 密 多 
1A HK 


Openssl[4849 是 一 个 加 密 


发 


来 进行 加 密 解 密 ， 对 会 话 进 
加 密 用 户 发 给 服务 端的 会 话 


i] 私 钥 来 解密 会 话 密 钥 。 在 SSL 交互 过 程 中 ， 需 


成 随机 数 ，Openssl 会 通过 对 系统 内 部 数据 计算 摘要 来 


随机 数 ， 在 多 变 体 执行 框 为 


RT. SCUTIS Openssl 


都 会 产生 独立 的 随机 数 ，1 


j 在 表决 器 裁决 的 时 候 ， 如 果 


粒度 过 大 ， 会 发 生 误 判 ， 


巴 执行 体 分 发 过 来 的 随机 数 当 


行 安 
密 钥 ， 
要 

生成 
模块 
表决 
成 不 


多 变 体 执行 误 报 问题 分 析 与 解决 方法 综述 


Opensll 验 证 
客户 端 


图 5 随机 数 误 报 例 图 
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Fig. 5 Random number false positive example 


2.4 


情况 四 代码 异 构 的 误 报 〈 图 6) 


在 代码 函数 里 ， 为 实现 某 一 特定 功能 ， 不 同 的 编程 人 员 
会 因为 不 同 的 编写 习惯 及 不 同 的 函数 特性 ， 写 出 不 同 内 容 ， 


但 结果 输出 一 样 的 代码 51。 
strace hello 1 


write(1,"hello worid",11) 


strace hello 2 


write(1,"hello ",6) 
write(1,"world",5) 


图 6 代码 异 构 案 例 图 


Fig.6 Code heterogeneous case diagram 


在 早 前 的 多 变 体 执行 架构 中 ， 大 多 采 


后 各 执行 体 输出 结果 进行 表决 判断 ， 这 一 现象 并 没 


JEME, KER 
得 到 人 


门 的 重视 。 


决 不 只 是 比 对 各 执行 体 结 
执 形体 各 自 的 系统 调用 。 


粒度 ， 监 


执行 架构 的 监视 器 监控 点 变 


若 某 个 多 变 体 执行 架构 采用 
空 执行 体 的 系统 调 
同步 表决 ， 则 会 出 现 误 报 问 题 ， 如 图 中 的 两 块 代码 ， 左 边 代 


但 随 着 工程 的 发 展 ， 引 入 多 线程 等 概念 ， 多 变 体 


得 更 多 ， 监 控 粒 度 变 得 更 细 ， 表 
， 还 需要 比 对 更 细 的 粒度 ， 如 各 
更 细 的 
] 层 ， 在 系统 调用 层级 就 开始 做 


码 输出 hello world 只 需要 


右边 代码 输出 hello world 需要 调用 两 次 sys_write0 操 作 ， 在 


行 ， 调 用 


次 sys. write) RE, 


监控 器 上 ， 表 决 的 判断 规则 如 果 是 比 对 系统 调用 的 信息 ， 很 


容易 出 现 误 报 。 


3 ”多 变 体 执行 误 报 的 解决 策略 


3.1 Pina 同步 算法 


Pina 等 人 基于 软件 多 样 性 提出 一 种 规则 语言 Domain- 


Specific Languagr(DSL) P?! 


J 以 解决 执行 体 之 间 因 系统 调用 


号 执行 顺序 不 同 导致 产生 良性 误 报 的 问题 。 在 初始 化 多 变 体 


执行 环境 时 ， 该 架构 使 用 


出 的 系统 调用 。 两 个 不 同 版 本 的 执行 体 规 则 匹配 如 图 7 所 示 。 
DSL | 
ps match ! 
stat stat 
Ea DSL 
open -— exec 2 dup 
close T Iseek 
DN sip exec 3 
4 DSL close 
ES 
match," match 
图 7 两 个 不 同 版 本 的 执行 体 规则 匹配 
Fig.7 Two different versions of the body rule match 
DSL 解决 执行 体 之 间 因 系统 调用 执行 顺序 的 不 同 产生 


个 监视 进程 来 拦截 所 有 执行 体 发 
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的 误 报 问 题 ， 
这 些 日 志 分 别 


ERR, F: 


从 系统 调用 跟踪 日 志 开始 手动 编写 所 需 的 规则 ， 
从 每 个 版 本 获得 


uud 


执行 系统 调用 ， 并 将 它 的 结果 写 入 共享 环 缓冲 
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D6lbefore sync op 、after sync op 函数 ， 


码 为 源 代码 ， 红 色 部 分 为 插 桩 后 的 。 


图 9 所 示 ， 黑 色 代 
播 桩 的 同步 代理 为 动态 


链接 库 ， LD 


称 之 为 追随 端 ， 追 随 端 从 环 缓冲 区 读 取 记录 端 


E 从 执行 体 两 


有 具体 比较 方法 : 令 其 中 一 个 版 本 担任 “领导 者 ”， 
记录 端 ， 直 接 
区 。 其 他 版 本 
的 系统 调用 顺序 ， 从 而 完成 自己 的 系统 调用 。 
端 在 每 一 次 执行 系统 调用 


端的 语句 是 否 


入 下 一 步 ， 左 边 是 open， 


match 成 功 ， 
open 是 否 等 效 于 


skip 操作 ， 跳 


都 是 close， 成 功 匹 配 成 功 。 
在 章节 2. 
BE ERI dup+lseek 操作 ，Pina 等 人 还 提出 一 种 从 系统 
调用 跟踪 (3 对 中 自动 提取 DSL 规则 的 算法 。，DSL 语言 判 


的 open 


时 ， 算 法 进行 match 比 对 ， 看 看 两 
等 效 ， 第 一 句 的 stat 两 边 等 效 ， 匹 配 成 功 ， 进 
右边 是 dup+lseek， 此 时 
这 时 候 需 要 用 事先 写 好 的 规则 来 进行 判 
dup+lseek， 当 判断 出 两 者 等 效 ， 则 开始 
入 下 一 步 系 统 调 用 比较 ， 下 一 步 发 现 左 右 两 端 


4 案例 中 ， 提 到 的 代码 异 构 的 案例 ， 就 是 典型 


断 文 中 的 LSR 为 记录 端 ，RSR 为 追随 端 ，DSL 表述 在 两 个 


系统 调用 序列 


对 于 每 一 个 序列 ， 


采取 的 操作 作 


系统 调用 (图 7 中 的 步骤 1 和 步骤 4), 
配 双 方 ， 从 而 将 两 个 序列 向 前 推进 


read 


write 


open 


stat 


之 间 操 作 记 录 和 重 放 的 规则 。 在 每 个 步骤 中 ， 
DSL 将 下 一 个 系统 调用 作为 输入 ， 将 要 
为 输出 。 对 于 记录 序列 和 重 放 序 列 之 间 的 每 次 
DSL 通过 MATCH [E 
个 位 置 
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图 8 Pina 同步 算法 匹配 流程 图 


Fig.8 Pina synchronization algorithm matching flow chart 


图 8 为 匹配 过 程 中 的 顺序 流程 ， 空 圆圈 表示 Nop, Nop 


是 空 操作 指令 ， 用 于 控制 时 间 周 期 ，Nop 是 no operation 的 
缩写 ， 执 行 Nop 指令 只 使 程序 计数 器 PC 加 1， 所 以 占用 
个 机 器 周期 。EXEC 系统 调用 并 没有 创建 新 的 进程 ， 只 是 蔡 
换 原来 进程 上 下 文 的 内 容 ， 代 码 段 ， 数 据 段 ， 堆 栈 段 被 新 的 
进程 所 替代 。 

3.2 编译 器 模块 插 桩 的 策略 


微观 到 线 


程 概念 里 ， 即 便 使 几 个 执行 体 同样 的 输入 ， 但 


如 果 执 行 体 Z 
见 的 行为 也 可 
类 良性 误 报 问 


间 进 行 线程 调度 的 顺序 不 同 ， 那 么 它们 外 部 可 
能 会 不 同 ， 导 致 表决 时 产生 不 必要 的 差异 。 这 
题 对 多 变 体 多 线程 执行 产生 影响 ， 毕 竟 多 变 体 


执行 环境 本 喘 
下 面 介绍 


行 导 致 误 报 的 


Stijn Volckaert 团队 采取 的 是 ， 设 计 编 译 器 插 桩 方法 


“Taming Parallelism in a Multi-Variant Execution Environment” 


是 依靠 检测 差异 来 检测 攻击 行为 。 
一 种 针对 多 变 体 执行 的 进程 中 的 多 线程 乱 序 执 
解决 方案 


时 ， 最 容易 实现 的 是 在 系统 调 | 


操作 前 后 ， 插 


级 别 上 执行 同步 ， 在 sync 
桩 自己 设计 的 同步 库 ， 以 保证 线程 交错 执行 的 


序列 一 致 ， 从 
编译 阶段 对 产 
析 ， 插 桩 到 前 


而 高 效 解决 多 变 体 执 行 的 误 报 问 题 ， 具 体 是 在 
生 误 报 的 不 确定 性 因素 和 关键 代码 地 址 进行 分 
驱 函 数 与 后 驱 函 数 ， 在 运行 时 监视 信号 的 传递 ， 


再 结合 主 从 变 
制 给 从 执行 体 


通过 动态 链接 53 的 方式 在 sync ops 


体 同 步 机 制 ， 由 主 执行 体 将 执行 结果 或 顺序 复 


o 


的 指令 前 后 插 桩 


程 间 的 通信 接口 挂 载 到 同步 缓冲 区 ， 即 
体 的 同步 代 


进行 精细 化 处 理 。 


1.void spinlock lock(int * ptr){ 
bool result — false: 


while (!result)( 


before sync op(ptr): 
result Ccompare and swap(ptr.0.1): 
after sync op(ptc); 
if (result) break: 
sched yield(): 
} 


1 
$ 


void spinlock_unlock(int *ptr){ 
before_sync_op(ptr); 
*ptr=0; 
after sync op(ptr) 

1 

5 


图 9 代码 插 桩 示意 图 


_PRELOAD 环境 变量 指示 在 运行 时 加 
接 到 程序 中 。 在 加 载 过 程 中 ， 不 同 执行 体 的 同步 代理 通过 进 
sync buffer。 主 执行 
里 在 sync buffer 中 记录 执行 sync op 的 顺序 ， 从 
执行 体 查 询 sync op 的 序列 并 控制 sync ops 的 执行 序列 。 
在 插 桩 模块 上 ， 通 过 多 样 化 编译 技术 来 对 软件 程序 内 部 


Fig.9 Schematic diagram of code instrumentation 


3.2.1 全 序 同 步 方法 
在 | 
斥 锁 ， 


] 户 空间 内 ， 申 请 一 个 缓冲 区 ， 该 缓冲 区 品行 运行 互 
当 


当 锁 占用 缓冲 区 资源 时 ， 需 要 等 锁 结束 使 用 : 
657 信号 量 A，B 来 标识 同步 的 两 个 线程 占用 资源 的 状态 ， 如 


tl 时 刻 至 (2 时 刻 ， 线 程 ml 执行 系统 调用 和 线程 s1 
量 A 来 标识 ， 一 次 执行 过 程 开始 A 为 0， 结束 A 为 1，ml 


lm 


与 SI 对 A 进行 互 斥 ， 一 次 执行 结束 后 ， 线 程 sl 开始 读 取 绥 
冲 区 ml 的 调用 顺序 。 同 理 m2 与 s2 对 B 进行 互 斥 ， 在 同步 
阶段 每 个 执行 体 同 时 只 能 执行 一 个 系统 调用 ， 及 达到 多 线程 


见 余 执行 的 目的 。 全 序 同步 图 如 图 10 所 示 。 


缓冲 区 


线程 my 线程 m2 


线程 sj 


图 10 


全 序 同步 图 


线程 s， 


Fig. 10 Total sequence synchronization diagram 


3.3 ”缩小 表决 边界 的 策略 


多 变 体 执行 技术 所 带 来 的 误 报 问 题 对 该 技术 的 可 用 性 造 
成 较为 严重 的 影响 ， 阻 碍 多 变 体 发 展 ， 以 往 的 多 变 体 执行 将 
普通 系统 改造 成 多 变 体系 统 后 ， 先 对 该 系统 进行 功能 测试 ， 


接着 查看 表决 器 日 志 ， 分 析 测 试 中 产生 的 报错 


, 


挑选 出 误 报 ， 


对 系统 进行 二 次 开发 ， 填 补 误 报 “缺口 ”。 但 是 多 变 体系 统 


中 包含 多 个 异 构 元 余 的 执行 体 ， 填 补 一 个 “ 缺 
造 多 个 执行 体 ， 耗 费 


”， 需 要 改 


量 资源 ， 并 不 能 长 时 间 有 效 的 解决 误 


4 


报 问 题 。 
潘 传 科 等 人 提出 元 余 异 构 边界 5 的 概念 ， 


余 处 理 ， 这 会 造成 表决 误 报 。 邵 明文 [3 


通常 过 大 的 


见 余 异 构 边 界 会 使 得 改造 者 对 一 些 非 必要 的 组 伯 
等 人 提出 选择 完全 


EEG SERT 


202205.00138v1 


chinaXiv 


ChinaXiv 合 作 期 刊 


录用 定稿 RAR, SR: 多 变 体 执行 误 报 问 题 分 析 与 解决 方法 综述 第 
见 余 异 构 组 件 和 最 佳 元 余 异 构 集 合 的 方法 ， 以 异 构 匈 余 为 基 报 率 作为 参考 依据 。 


础 ， 缩 小 表决 边界 ， 对 一 些 非 必要 的 见 余 异 构 组 件 进行 删 减 ， 
直至 删 减 为 误 报 最 少 的 系统 ， 则 该 系统 所 表示 的 集合 为 最 佳 元 
余 异 构 组 件 集 。 有 些 组 件 可 以 不 进行 异 构 见 余 ， 而 是 兼容 性 改 
造 ， 这 样 就 可 以 避免 一 些 见 余 异 构 改造 时 带 来 的 误 报 问题 。 

邵 曼 文 等 人 基于 王立 群 团队 提出 的 面向 非 相似 余 度 信息 
系统 [0 的 攻击 面 模型 ， 利 用 攻击 效 费 比 ![60 来 度量 系统 的 安 
全 性 ， 将 多 变 体系 统 的 输入 与 输出 集合 、 通 道 传 输 集合 、 不 
可 信 数 据 项 组 成 的 三 元 组 定义 成 攻击 面 ， 形 式 化 表示 


surf (M, C, I) (1) 

对 于 该 攻击 面 surf， 其 度量 结果 可 以 表示 为 
e Y der(m) e der(c), E an) (2) 
其 中 ， der(m), der(c) , der(d) 分 别 表 示 系 统 入 口 点 和 出 口 点 


组 件 


、 系 统 通道 组 件 、 不 可 信 数 据 项 组 件 的 攻击 效 费 比 。 
系统 的 脆弱 性 可 以 表示 为 


vul — Y deron) 十 > derco) 十 


> der(d) (3) 
系统 的 安全 性 与 系统 的 脆弱 性 5653 成 负 相 关 ， 系 统 的 脆 
弱 性 越 大 ， 则 系统 的 安全 性 越 小 。 
systemA 表示 没有 继续 进行 多 变 体 改 造 的 系统 ， 
systemB 表示 多 变 体 改造 后 的 系统 。E 表示 systemA 中 的 所 
有 组 件 的 集合 。E0 表示 最 佳 元 余 异 构 组 件 集 ，EH 表示 完全 
元 余 异 构 组 件 集 。surfA 表示 多 变 体 执行 改造 前 系统 的 攻击 
B], surfB 表示 拟态 化 改造 后 系统 的 攻击 面 。 
a) 先 求 出 改造 后 系统 的 安全 增益 59。 


Sec, =VULA 一 vuls = 


5 der(m) + > der(c) + > der(d)— 
meMA ceCa del, 


(4) 
( Y; der(m)+ bi der(c) + 3 der] 
b) 将 EO 赋值 为 EH 
Es = En (5) 
c). EO 中 任意 取出 一 个 组 件 p，surf0 表示 取出 组 件 以 


后 系统 的 攻击 面 。 
此 时 的 安全 增益 为 


sec, = vul, — vul, -| >» der(m)+ >» der(c)+ > do 
mEMA ceCA del, 


| »2 der(m) + : der(c) X) 
meM, ceC, del, 


判断 sec0 Ej secmax 大 小 ， 若 sec0 小 于 
组 件 放 回 到 E0， 反 之 ， 则 舍 去 p 组 件 。 
dd) 不断 重复 步骤 c)， 直 至 将 E0 内 的 所 有 组 件 都 取 一 遍 ， 
此 时 EO 中 的 组 件 即 为 最 佳 元 余 异 构 组 件 集 。 
表 2 代理 服务 器 与 执行 体 的 具体 配置 


Tab.2 Specific configuration of proxy server and executive body 


(6) 


secmax， 则 将 p 


代理 服务 器 ”执行 体 1 执行 体 2 执行 体 3 
系统 类 型 WindowslO0 “Ubuntu16 Centos7.0 Windows7 
服务 器 类 型 Nginx Apache Nginx Iss 
PHP 版 本 PHP5.6 PHP5.5 PHP7.0 
PHP 标签 PHP 标签 1 PHP 标签 2 PHP 标签 3 
y |. — Al 
数据 库 标签 数据 库 标 签 数据 库 标 签 2 数据 库 标签 3 


1 


该 方法 以 改造 商用 网 站 为 例 ， 选 用 php 脚本 组 件 ， 数 据 
库 服务 组 件 ， 操 作 系 统 组 件 ， 网 页 服务 器 组 件 为 组 件 集 EO. 
不 断 执行 步骤 四 ， 选 出 最 佳 元 余 异 构 组 件 集 。 首 先 选择 需要 
改造 的 组 件 ， 然 后 再 对 商用 网 站 系统 进行 元 余 异 构 改 造 。 通 
过 访问 日 志 分 析 ， 将 用 户 正 常 请 求 (5000 次 任意 请 求 ) 中 的 误 
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买 家 用 户 


商家 用 户 


有 直接 进行 多 释 体 执行 改 造 m f THE ETTA YE PE HE 


图 11 rm) 


网 站 误 报 率 统计 


Fig. 11 
由 图 11 可 看 出 ， 在 不 影响 安全 性 的 前 提 下 
态 界 ， 可 以 有 效 降低 甚至 消除 误 报 率 。 

3.4 对比 实验 
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fi $ ERA rtt 


Statistics of false alarm of commercial websites 


合理 缩小 拟 


配置 的 虚拟 机 进行 测试 ， 其 中 环境 一 采取 DSL 
二 采取 编译 器 模块 插 桩 的 策略 ， 环 境 三 采取 缩小 
策略 ， 三 种 环境 均 采 用 三 路 执行 体 和 
环境 如 表 3 所 示 。 


x 


表 3 环境 硬件 配置 


本 实验 选取 CentOS 7.3 系统 为 环境 ， 建 立 三 套 


路 表决 器 。 


同样 硬件 
人 策略， 环境 
表决 边界 的 
性 能 测试 


Tab.3 Environment hardware configuration 


CPU Intel(R) Xeon® CPU E5-2603 v4@ 1.70 GHz 6 cores 
内 存 32GB 
操作 系统 CentOS 7.3 


对 第 二 章 提 到 的 四 种 产生 误 报 的 应 用 场景 分 


别 测试 ， 分 


析 执 行 过程 中 表决 器 的 表决 日 志 ， 在 每 种 对 应 的 
人 工分 析 报 错 条 目 ， 挑 选 出 符合 类 型 的 误 报 条 目 。 
线程 程序 执行 的 €— 在 每 个 环境 


应 用 场景 下 ， 
如 选择 多 
的 表决 器 裁 


决 日 志 里 选取 1000 个 报错 条 目 ， 排 除 死 锁 等 

目 ， 在 剩 下 的 条 目 里 面 ， 若 没有 影响 系统 功能 正 

认为 这 些 条 目 是 误 报 。 误 报 统计 如 表 4 所 示 。 
表 4 误 报 统计 


Tab.4 False alarm statistics 


[ 实 错误 的 条 


常 执行 ， 则 


环境 名 利用 方法 


多 线程 乱 序 执 操作 系统 文件 读 验证 随机 


行 写 数 
环境 一 ”DSL 策略 211( 条 ) 5( 条 ) 23( 条 ) 
编译 器 插 桩 
环境 二 策略 12( 条 ) 3( 条 ) 25( 条 ) 
qax 缩小 拟态 界 
环境 三 m 45( 条 ) 3( 条 ) 2( 条 ) 

5.009 

21.10% 
20.00% 
15.00% 
10.00% 

8.30% 8.00% 

5.00% 4.50% 
0.00% wE mt — 0 20%0-30% mn... 109 — 

多 线程 竹 序 乱 序 执行 操作 " 文件 计 验证 随机 数 g 等 价 异 构 

» DSI AHERE 亚 缩小 拟态 界 
图 12 三 种 策略 误 报 率 对 比 
Fig. 12 Comparison chart of false positive rate of three strategies 
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图 12 


器 插 桩 的 方法 
够 同步 执行 体 之 间 的 线程 调 
考虑 到 多 线程 执行 情况 ， 产 4 
不 能 语法 匹配 ， 
线程 程序 乱 序 误 报 。 
在 操作 系统 
1000 次 打开 文件 ， 


变化， 


顺序 ，DSL 的 方法 


边界 的 方法 也 可 以 规避 


F 读 写 的 场景 下 ， 让 三 个 测试 
写 入 文件 ， 删 除 文件 ， 虽 然 


号 pid 不 一 致 等 


青 况 ， 但 多 路 执行 体 通过 接 


E, HJ 


决 器 ， 进 程 号 本 身 就 不 会 产 4 
有 很 好 的 解决 此 类 误 报 ， 体 现 不 出 来 各 
日 场景 下 ，Openss 


于 执行 体 


PR: 多 变 体 执行 误 报 问题 分 析 与 解决 方法 综述 


以 看 到 ， 在 多 线程 乱 序 执行 的 场景 下 ， 编 译 
了 效 的 减少 多 线程 执行 过 程 


ChinaXiv 合 作 期 刊 


其 余 组 件 不 变 ， 用 攻 了 
系统 的 安全 及 解决 误 报 的 能 
可 信 可 用 的 功能 。 


生效 费 比 的 公式 来 度量 
的 根本 目标 是 提 
的 优势 是 能 够 解决 各 执行 体 


该 方法 


E 随 机 数 误 报 的 场景 效 
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效 规避 随机 数 给 


的 影响 ， 且 该 策略 适用 男 


性 能 损耗 分 析 
明 碍 多 变 体 执行 系统 应 月 
E， 从 性 能 的 习 


于 实践 的 另 一 个 障碍 是 


同步 和 拦截 和 


言 成 本 ， 监 控 对 象 的 数量 越 多 ， 监 控 同 步 点 粒度 越 


于 大 部 分 应 用 场 


的 粒度 以 及 执行 体 与 监控 器 之 


生 能 方 

F 衡 上 考虑 ， 影 响 系统 性 能 的 关 
rA 

É 

H 


TE UE B8 p 


数 也 是 高 频 发 4 
余 异 构 集合 明显 可 以 缩小 产 9 
随机 数 的 误 报 ， 相 比 之 下 ，DSL 方法 和 编译 器 插 桩 方法 效 


果 一 般 。 


的 方法 找 出 最 佳 元 


性 能 越 高 ， 但 工作 量 也 会 随 着 变 大 ， 有 的 
力 和 安全 性 能 ， 采 
Dmon 分 布 式 多 变 体 架 构 ，Dmon 利 月 
间 令 集 机 构 执行 ， 并 利用 ARM M X 


在 代码 等 价 异 构 的 应 用 场景 下 ，DSL 可 以 有 效 的 类 需要 的 5 


出 代码 等 效 ， 减 少 来 自 该 场景 的 误 报 ， 而 编译 器 所 


表决 边界 没有 


考虑 到 代码 异 构 产 生 的 误 报 。 


4 ” 误 报 解决 策略 的 分 析 
在 多 变 体 执行 架构 中 ， 表 凡 
实现 中 的 重大 问题 ， 三 种 解决 误 报 问题 方案 ， 从 不 


生 能 时 ， 需 要 对 多 变 
带 的 特征 进行 形象 化 描述 ， 谷 
减 小 成 本 ， 其 次 一 些 团队 在 基于 内 核 的 多 变 体 架 构 中 ， 通 过 
参数 ， 或 者 把 监视 器 嵌入 


体 初 始 化 时 贡 


不 同 应 用 场景 各 


缺陷 ， 比 如 DSL 策略 是 2014 年 


解决 部 分 误 报 问题 ， 


余 政府 单位 或 少数 机 构 ， 很 少 有 企 趾 
上 的 成 本 去 实现 分 布 式 多 变 体 执行 架构 。 所 以 ， 
体 执行 架构 及 系统 安全 进行 度量 ， 
删除 一 些 元 余 属 性 ， 


队 为 更 好 的 提升 
分布 式 多 变 体 执行 架构 ， 如 


步 提升 多 变 体 执行 安全 性 ， 但 


天 然 存在 的 多 
86 不 同 的 硬件 
运行 Dmon 的 
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信 ， 还 可 能 有 被 信道 攻击 的 风 


] 会 消耗 两 倍 以 


上 内 核 中 等 方式 也 可 以 很 大 程度 提升 整个 架构 性 能 。 


在 软件 层面 实现 改造 ， 


线程 程序 的 执行 可 


的 场景 。 


4.1 功能 性 分 析 


， 实 现成 本 是 三 个 方法 
断 点 难度 很 大 ， 通 过 语言 处 理 ， 姑 
SL 能 够 很 容易 地 对 两 
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1 除 元 余 的 属 怕 


DSL 策略 本 身 不 需要 改变 物理 


里 成 本 最 小 的 ， 但 设置 程序 同步 


本 节 对 能 否 


了 效 解 决 产生 的 误 报 问 是 


评价 ， 评 测 三 种 


解决 方案 是 否 达到 功能 性 目的 ， 主 要 依据 是 


对 减少 误 报 率 ， 且 该 方 
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和 否 实现 多 变 体 执行 系统 完整 功能 ， 
» EH 
AE 


íi Sc 3L A AE Ue UT [8] 2b io, 
提出 一 种 从 成 体系 
提供 元 余 执 行 所 需 上 
吧 本 间 的 执行 体 ， 代 码 


Hc, DSL R 
设计 算法 对 操作 指令 进行 语义 判 
统 调用 中 自动 提取 

， 且 实验 证 明 该 方法 可 


ZN Eg 


Au VE SR EE 


ES 


网 分 歧 ， 可 能 发 出 不 态 
同 的 非 确 定性 的 参数 ， 监 视 器 会 发 
警告 并 停止 执行 或 终止 分 歧 版 本 ， 该 方法 可 以 用 了 


于 动态 分 析 的 版 本 3 


介 寞 构 的 问题 ， 妆 


的 系统 调用 或 者 某 些 不 


的 不 同 版 本 ; 


比方 法 也 有 局 限 性 ， 该 方法 的 提 昌 
判断 上 添加 自己 的 一 套 算法 ， 但 在 复杂 
执行 过 程 中 如 发 生 未 添 力 


语言 处 理 规则 , 
次 执行 发 出 的 系统 调用 序列 的 差异 
进行 比 对 ， 它 将 大 幅度 改善 代码 异 构 及 单线 程 系统 调用 ， 但 


是 为 解决 误 报 问题 ， 在 语 
多 变 体 执行 架构 


[的 语义 等 价 》 


出 洞 ， 则 需要 改变 整 


对 于 编译 器 插 桩 的 同步 方法 ， 本 质 是 对 线程 共享 资源 进 
昌 塞 线程 的 执行 必然 会 导致 性 能 
行 体 间 系统 调用 


降低， 但 该 方法 
的 误 报 问题 ， 局 


题 ， 能 有 效 的 避免 误 报 ， 但 
性 能 的 降低 。 


1 请 的 内 存 空间 无 法 昌 
言 息 都 是 静态 分 析 和 插 桩 的 ， 昌 然 解 决 执行 体 之 间 系 


为 所 有 的 变量 


加 入 大 量 的 锁 机 种 


， 此 方法 能 在 语义 判断 上 ， 对 执行 体 歧义 语句 做 处 理 ， 
的 避免 误 报 。 


在 缩小 表决 边界 的 方法 是 
EL, Ky 


tr ACA E 


桩 的 方法 中 ， 传 统 上 


系列 数 十 个 系统 调用 ， 以 逃避 检测 ， 找 到 


依赖 特定 的 系统 i 
数 进行 比 对 ,容易 遭受 伪装 攻 


。 在 软件 层面 
秆 ， 不 需要 对 各 执行 体 


其 至 可 以 对 需要 改 ; 
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难 的 。 通 常 采 用 
[9， 但 方法 成 本 巨 
庄 同步 方法 是 在 应 用 
额外 监视 器 ， 在 系统 调用 
作 。 监 控 系 统 调 用 


执行 监控 和 输入 /输出 复制 
的 输入 /输出 操作 者 


行 。 


缩小 表决 边界 的 方法 ， 通 过 建立 攻击 盏 
是 用 排列 组 合 的 方法 构造 合适 的 元 余 异 构 组 


可 以 被 监控 和 复种 
停止 ， 即 可 以 提供 必要 的 安全 
的 监控 器 拦截 系统 调用 是 最 有 效 的 ， 
下 文 切换 ， 本 质 是 对 线程 共享 资源 进 


载 的 内 核 模块 实现 
为 它 不 需要 额外 的 上 
1 锁 ， 阻 塞 线程 的 执 


度 行为 进行 同步 ， 不 需要 改变 整个 系统 ， 
插 桩 实现 要 容易 。 鸳 


关于 多 变 体 执行 误 报 问题 ， 自 06 4 
一 直 都 是 一 个 难题 ， 执 行 体 
响 表 决 器 表决 。 这 
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dom 


程 和 线程 的 调度 问 
述 符 、 进 程 ID. 、 时 间 和 随机 数 不 一 致 ,这 些 都 会 引起 
表决 器 裁决 时 的 误 报 。 本 论文 针对 这 些 情况 ， 对 一 些 实际 应 


的 系统 调 


点 在 于 在 选 
计算 安全 增益 很 困难 。 


体现 在 选取 最 佳 元 
MR, HA 
组 件 进 行 精简 ， 减 少 系 
或 删 减 拟态 组 
用 级 粒度 行为 或 者 线程 级 粒 
DSL 和 编译 器 
取 组 件 时 没 法 进行 很 好 的 安 
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生 及 不 一 致 的 参 
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民 问 题 进行 举例 ， 


了 三 种 不 同类 型 的 解 
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决 误 报 的 方法 ， 横 向 对 比 这 三 种 方法 ， 给 出 了 各 自 的 优点 及 
点 。 三 个 方法 对 减少 多 变 体 执 行 误 报 的 研究 有 极 大 的 启发 
意义 。 本 文 详细 举 出 了 多 变 体 执 行 产生 误 报 问 题 的 产生 案例 
及 原因 ,对 比 近年 来 国内 外 团队 研究 设计 解决 误 报 问题 的 策 
略 优 缺 点 ,指出 在 工程 实现 时 需要 注意 的 功能 性 及 性 能 
多 变 体 执行 引入 多 线程 元 余 执 行 的 场景 一 直 是 研究 
点 ， 对 于 解决 多 线程 见 余 执行 通常 有 两 种 思路 : 1. 确 定 
线程 的 系统 ， 该 系统 通过 为 每 个 给 定 的 程序 输入 建立 一 个 
定 的 时 间 表 来 对 线程 间 的 通信 指令 施加 一 个 确定 的 顺序 ， 
定性 多 线程 模式 ， 将 程序 分 为 并 行 和 串 行 阶段 , 串 行 阶段 : 
线程 共享 操作 的 执行 阶段 被 归 类 为 串 行 阶段 ， 任 何 时 刻 只 有 
一 个 线程 在 执行 ,并 行 阶段 : 无 共享 操作 的 阶段 线程 并 行 执 
行 由 硬件 计数 器 来 确定 程序 执行 的 原子 起 点 和 终点 。2. 记 
录 + 重 放 模 式 的 系统 Kk1， 在 运行 时 执行 记录 + 重 放 的 操作 ， 
分 为 一 个 主 执行 体 ， 多 个 从 执行 体 ， 从 变 体 通过 捕获 主 执行 
体 中 执行 同步 操作 的 顺序 ， 并 在 其 他 执行 体 中 强制 执行 相同 
的 顺序 。 在 近 几 年 的 研究 中 ， 围 绕 记 录 + 重 放 的 研究 成 为 多 
变 体 执 行 技术 的 重点 研究 之 一 ， 因 为 这 样 监控 拦截 粒度 更 细 
效率 更 高 ， 能 够 提升 系统 整体 效能 。 
5.2” 现 有 技术 未 解决 的 难点 


St 此 
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但 仍 有 部 分 情况 会 导致 误 报 。 实 际 的 系统 调用 通常 不 会 在 同 
一 时 间 执 行 。 例 如 : 执行 体 请 求 以 只 读 方 式 打开 文件 。 如 果 
这 些 文件 中 的 任何 一 个 文件 在 某 个 执行 体 读 取 它 之 后 被 其 他 


执行 体 读 取 它 之 前 被 第 三 方 应 用 程序 更 改 ， 则 存在 竞争 关系 ， 


i 


并 且 执 行 体 将 接收 到 不 同 的 数据 ， 这 将 导致 它们 之 间 出 
异 。 如 果 执 行 体 党 试 直接 用 处 理 器 时 间 戳 计数， 例如 
X86 处 理 器 可 用 的 RDTSCISS 指令 ， 则 会 触发 误 报 。 
读 取 时 间 恰 的 计数 器 是 在 没有 任何 系统 调用 调用 的 情况 下 执 
行 的 ， 因 此 不 会 通知 监视 器 并 
5.3 未 来 的 展望 
未 来 的 多 变 体 执行 产生 的 误 报 问题 的 研究 应 多 考虑 避免 
引入 多 余 的 安全 问题 ， 结 合 近年 来 新 兴 的 攻击 手段 ， 如 
Linux 等 常用 的 操作 系统 漏洞 、 信 道 攻击 漏洞 90， 
Openssl 模块 漏洞 等 ， 从 安全 性 的 角度 去 设计 。 在 效率 层 国 
可 以 从 编译 支持 的 多 变 体 执行 思路 入 手 ， 通 过 提前 对 产生 误 
报 的 非 一 致 性 参数 及 地 址 进行 分 析 提 取 ， 设 计 同 步 库 ， 插 桩 
到 前 驱 函 数 及 后 驱 函 数 ， 再 根据 主 从 同步 机 制 将 主 执行 体 的 
执行 结果 或 调用 顺序 等 关键 操作 复制 给 从 执行 体 。 还 可 以 从 
容器 的 角度 入 手 ， 容 器 本 质 上 是 资源 隔离 的 进程 ， 其 通过 内 
核 机 制 Namespace 和 Cgroup57 进 行进 程 资源 的 隔离 和 
限制 ， 等 价 的 容器 中 4 进程 各 自 拥有 独立 的 文件 系统 视图 ， 
不 会 因为 文件 描述 符 指向 的 目标 点 文件 不 同 而 发 生 误 报 。 且 
容器 与 宿主 机 共享 操作 系统 内 核 ， 在 使 用 的 资源 和 速度 方面 
远 远 优 于 传统 的 虚拟 机 ， 但 容器 也 存在 缺点 ， 虽 然 可 以 解决 
文件 描述 符 等 系统 共享 资源 的 误 报 ， 但 遇 到 使 用 随机 数 的 情 
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况 以 及 多 线程 程序 的 线程 随机 调度 的 情况 时 ， 和 暂时 无 法 解决 ， 


还 需要 进一步 研究 。 
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